📖 Arpass — Guía de usuario
→ Abrir vault

Guía de usuario

Cómo usar Arpass, por escenario.

Contenido

📚 Learn more: How to choose a YubiKey or passkey is covered in our guide articles.

🆕 Primer uso

El flujo inicial para crear tu vault seguro.

Visita arpass.io. Aparece la pantalla "Crear unidad segura".
Ingresa una contraseña maestra dos veces. Esta es tu contraseña de acceso a Arpass — nunca la compartas y recuérdala.
Haz clic en "Crear unidad segura". Luego registra un Passkey (autenticación del dispositivo) usando Touch ID / Face ID.
El Secreto de Recuperación se muestra una sola vez (formato: RS1-XXXX-XXXX-…). Guárdalo en un lugar seguro.
Haz clic en "Entendido" para ingresar a la unidad.
🔑 Protege tus llaves (Passkey) y tu Secreto de Recuperación
La forma más fácil de abrir tu unidad en un dispositivo nuevo es una clave de acceso sincronizada (Llavero de iCloud / Administrador de contraseñas de Google) o una llave de seguridad como una YubiKey. Con una de estas, un dispositivo nuevo se abre solo con "contraseña maestra + clave de acceso" (sin necesidad de Recovery).

🔓 Uso diario

Obtener una contraseña

Visita arpass.io → pantalla de bloqueo
Ingresa la contraseña maestra → autentícate con Touch ID / Face ID
Aparece la lista de contraseñas. Usa el cuadro de búsqueda para filtrar por nombre del sitio.
Haz clic en una entrada → vista de detalle. Usa "👁 Mostrar" para revelar la contraseña, "📋 Copiar" para copiarla al portapapeles.

Guardar una nueva contraseña

Haz clic en "+ Agregar nuevo"
Ingresa el nombre del sitio, URL, nombre de usuario y contraseña. Usa "🎲 Generar" para obtener una contraseña segura.
Haz clic en "Guardar" para escribir en Arweave (consume 1 crédito)

📄 Almacenamiento de archivos

Almacena PDFs, imágenes y cualquier archivo cifrado para siempre. Ideal para documentos contables (recibos / facturas / contratos / informes médicos). Compatible con los requisitos de búsqueda de la ley japonesa de libros electrónicos (fecha / monto / contraparte).

Añadir un archivo

Abre la pestaña «📄 Archivos» en la parte superior de la app
Haz clic en «+ Añadir archivo»
Elige un archivo (PDF / imagen / texto / Word / Excel, etc., hasta 30 MB)
Se muestra la vista previa. Para imágenes grandes, usa «🗜️ Comprimir» para reducir (a ~200-500 KB)
Ingresa Contraparte o Título (al menos uno requerido); fecha / monto / moneda son opcionales
Haz clic en «Guardar» para cifrar + escribir en Arweave

💡 Los archivos menores de 100 KiB cuestan $0 (pasados a través del Free Tier de Turbo). Una foto de 1 MB cuesta ~$0.13. Si el costo real está por debajo del estimado, la diferencia se reembolsa instantáneamente.

Autocompletar OCR (opcional)

Extrae automáticamente fecha / monto / contraparte / descripción / etiquetas de imágenes de recibos o facturas / PDFs. Requiere tu propia API key de OpenAI (las imágenes se envían directamente a OpenAI; los servidores Arpass no están involucrados).

Obtén una clave API en platform.openai.com/api-keys
En Configuración de Arpass (⚙️) → sección inferior "📷 OCR de recibos (opcional)" → ingresa la clave → "Guardar y verificar"
Cuando seleccionas una imagen o PDF, aparece el botón "📷 Autocompletar desde imagen (OpenAI)"
Haz clic para extraer; ~\$0.005 por imagen se cargan a tu cuenta de OpenAI
Los campos vacíos se completan automáticamente (siempre sobreescribe — revisa y edita según sea necesario)

Buscar archivos

Caja de búsqueda en la parte superior: filtra por fecha / monto / contraparte / título — al instante
Clic en «🎛️» para filtros avanzados: rango de fechas, rango de montos, contraparte/título, tipo, etiquetas — combinados AND
Búsqueda de contraparte japonesa con NFKC + hiragana⇄katakana («セブン» coincide con «せぶん»)

Corregir y eliminar archivos

Haz clic en una fila → modal de detalle
Botón «✏️ Edit» para corregir (motivo obligatorio, registrado append-only)
Botón «🗑️ Delete» para eliminación lógica (motivo obligatorio, original y datos en Arweave preservados)
Botón «📜 History» muestra el log de auditoría (creación/correcciones/eliminaciones todas visibles)

📋 El historial de correcciones / eliminaciones es append-only, por lo que puede usarse como evidencia para auditorías fiscales (compatible con la ley de libros electrónicos). La eliminación física es imposible, pero esto también es una ventaja legal de "el rastro se preserva".

Descargar como CSV

Clic en el botón «📥 CSV» en el header de la pestaña Archivos
Todos los metadatos descargados como arpass-files-YYYY-MM-DD.csv
UTF-8 BOM asegura que el japonés no se rompe en Excel / Numbers / Google Sheets
Columnas: id / type / date / counterparty / title / amount / currency / description / tags / createdAt / version / txId / sha256 / arweave_url

📱 Cambio de dispositivo (abrir el mismo vault en nuevo dispositivo)

Cuando compraste un nuevo iPhone o Mac y quieres acceder a tu unidad existente. Si tienes una clave de acceso sincronizada o una llave de seguridad (YubiKey), puedes abrirla solo con tu contraseña maestra y la clave de acceso, sin necesidad de Recovery.

Abre arpass.io en el nuevo dispositivo → haz clic en "📲 Restaurar una caja fuerte creada en otro dispositivo"
Si tienes una clave de acceso sincronizada (Llavero de iCloud / Administrador de contraseñas de Google) o una YubiKey: haz clic en "🔑 Restaurar con clave de acceso + Contraseña Maestra (sin Recovery)", ingresa tu contraseña maestra → autentícate con la clave de acceso. No se necesita Recovery.
Si no tienes una clave de acceso a mano: ingresa tu contraseña maestra + el Secreto de Recuperación en papel (📷 el escaneo QR también funciona).
Cuando el desbloqueo es exitoso, se registra automáticamente un Passkey dedicado en este nuevo dispositivo.
A partir de ahora, este dispositivo se desbloquea solo con "contraseña maestra + Touch ID / Face ID".

🔑 Olvidé la contraseña maestra

Olvidaste la contraseña que memorizabas, o quizás la cambiaste por error.

En la pantalla de bloqueo, haz clic en "🔑 Olvidé la Maestra → Restablecer con Passkey + Recuperación"
Ingresa el Secreto de Recuperación en papel (📷 el escaneo QR también funciona)
Autentícate mediante Passkey con Touch ID / Face ID
Aparece el mensaje "Establece una nueva contraseña maestra" → ingresa una nueva contraseña
La unidad se abre + la nueva contraseña se aplica automáticamente a cada envoltura
💡 Establecer o cambiar tu contraseña maestra crea un nuevo Passkey en este dispositivo (el Passkey antiguo ya no puede desbloquear, así que puedes eliminarlo en "Gestionar dispositivos registrados" si ya no lo necesitas). Si usas un passkey sincronizado, en tus otros dispositivos solo tienes que elegir el nuevo Passkey e introducir la nueva contraseña la próxima vez. Si cada dispositivo tiene su propio Passkey, vuelve a desbloquear en esos dispositivos con "nueva contraseña + Recovery Secret".

🔐 How to save the Recovery Secret

When you create a vault, the Recovery Secret is shown only once. Pick the right method from the 4-tier picker in the app based on your environment.

🏆 BEST — Print on paper

Click "🖨 Print now" → browser print dialog → print on paper
Keep in a safe or locked drawer, physically secure
Store it in a different place than your master password

💡 Print later is also available. But you must print before proceeding (= it's shown only once).

🥈 GREAT — Switch to YubiKey-only mode

A mode where the Recovery Secret itself doesn't exist. For physical-security-focused users. See 🔐 YubiKey-only mode.

🥉 OK (mobile / PC compatible) — Save image

The "📸 Save image" button creates a PNG (= Recovery Secret + QR code). On mobile, save via the share sheet to iCloud Photos / Google Photos. On PC, it's downloaded to your Downloads folder.

⚠ Requirement: E2E encryption ON
You need iCloud Photos Advanced Data Protection, or Google One Backup E2E encryption ON before saving. Without this, Apple / Google still have technical access.

iCloud ADP check: Settings → [Apple ID name] → iCloud → "Advanced Data Protection" ON.
Google E2E backup check: Google account → Backup → "End-to-end encryption" ON (Android 13+ partial support).

🚫 Avoid

📲 How to restore later

To restore on a new device:

Open arpass.io on the new device → "📲 Restore a drive created on another device"
Enter master password → tap the 📷 QR scan icon
In the QR scanner, tap "🖼 Scan image" (= NEW)
Select the saved PNG image → Recovery Secret is read and filled in
Drive unlocks

🆘 El Passkey de este dispositivo desapareció

Cambiaste de perfil de navegador, o usas un nuevo dispositivo con Touch ID nuevo.

En la pantalla de bloqueo: "📱 Passkey perdido → Desbloquear con Maestra + Recuperación"
Ingresa la contraseña maestra + Recuperación en papel (escaneo QR aceptado)
El desbloqueo es exitoso → Configuración → "🔐 Registrar Passkey en este dispositivo" para crear un nuevo Passkey
A partir de ahora este dispositivo puede desbloquearse nuevamente con "contraseña maestra + Touch ID"

🔐 Modo solo YubiKey

Un modo que abre tu unidad únicamente con una llave de seguridad como una YubiKey: sin contraseña maestra y sin Recovery Secret. No hay nada que memorizar: basta con tocar cualquiera de tus YubiKeys registradas para desbloquear. Es una opción avanzada para quienes quieren depender por completo de una llave física.

💡 More on YubiKey itself: YubiKey: what & how to choose / Price tiers / Using with Arpass

⚠️ Lee esto antes de crearla
El modo solo YubiKey no tiene rescate por contraseña maestra ni Recovery Secret. Si pierdes todas tus YubiKeys registradas, la unidad no podrá abrirse nunca más (nosotros tampoco podemos recuperarla).

Crear una unidad solo YubiKey

Abre arpass.io → en la pantalla «Crear una unidad segura» elige «🔑 Usar solo YubiKey»
Elige cuántas YubiKeys registrar (dos o más)
Marca la casilla que confirma que entiendes que la unidad no se puede recuperar si se pierden todas las YubiKeys
Pulsa «Crear en modo YubiKey» y, siguiendo las indicaciones, inserta (o acerca por NFC) y toca tu primera YubiKey
Registra las YubiKeys restantes una a una (se te pedirá cambiar de llave)
Cuando todas estén registradas, la unidad se crea y se abre de inmediato

Abrirla en otro dispositivo

En el otro dispositivo abre arpass.io → haz clic en «📲 Restaurar una unidad segura creada en otro dispositivo»
Elige «🔑 Abrir tu unidad con una YubiKey desde otro dispositivo»
Inserta (o acerca por NFC) y toca cualquiera de tus YubiKeys registradas
La unidad se abre: sin contraseña maestra ni Recovery

Añadir una YubiKey

Con la unidad abierta, ve a Ajustes (⚙) → abre la sección «🔑 YubiKeys registradas»
Pulsa «+ Añadir una YubiKey»
Primero toca una de tus YubiKeys ya registradas para confirmar tu identidad
Después cambia a la nueva YubiKey que quieres añadir y tócala
La nueva YubiKey queda registrada y a partir de entonces también puede abrir la unidad

📲 Configura otro dispositivo rápidamente con un código de añadir dispositivo

Desde un dispositivo que ya puede desbloquear, transmite <strong>credentialId y la etiqueta de índice de Arweave</strong> a otro dispositivo (= uno que también deba desbloquear con la misma YubiKey). Es más rápido y fiable que «Abrir con la YubiKey de otro dispositivo». En Android Chrome es prácticamente obligatorio, ya que un bug de Chrome impide que el selector habitual funcione.

💡 Seguridad: El código contiene solo información pública (credentialId + etiqueta de Arweave). No incluye PRF / claves de cifrado / Recovery / Master, por lo que aunque se filtre nadie puede desbloquear sin la YubiKey física. Trátalo como efímero (bórralo tras pegarlo) por limpieza.
Lado emisor (= dispositivo ya desbloqueado): Con la unidad abierta, Ajustes (⚙) → sección «🔑 YubiKeys registradas»
Pulsa «📲 Mostrar código para otro dispositivo»
Aparece una cadena que empieza por «AP1....» junto con un código QR
Lado receptor (= dispositivo nuevo): En la pantalla de creación de arpass.io, pulsa el enlace «📲 Abrir con código de añadir dispositivo (AP1....)» abajo
Aparece el campo: pega el código del lado emisor o usa el botón «📷» para escanear el QR con la cámara
Pulsa «Aplicar código → Abrir con YubiKey» y toca tu YubiKey
El desbloqueo se completa y este dispositivo puede abrir normalmente en adelante
💡 Usos: ① Permitir que Android Chrome funcione (ruta obligatoria), ② También en Mac / Win / iPhone, omitir el toque del selector para acelerar la configuración, ③ Ruta estándar al desplegar una sola YubiKey en muchos dispositivos. Funciona cualquier dispositivo → cualquier dispositivo.
💡 Acerca de Safari en Mac: Safari en Mac implementa WebAuthn de forma distinta a otros navegadores, por lo que una unidad YubiKey creada o usada en Safari de Mac queda limitada a Safari de Mac y no puede abrirse en Chrome, Edge, iPhone ni Android (y viceversa). Para compartir la misma unidad entre varios entornos, usa en tu Mac un navegador distinto de Safari (Chrome / Edge).

🏢 Sign up as an employee (Business mode)

If your company has deployed Arpass, you receive an invite code from the admin to join. Employees don't hold Recovery themselves — the admin manages it centrally (password loss / device loss recovery is performed via admin approval).

Get the invite code from admin (e.g., ARPASS-XXXX-XXXX) — in person / Slack DM preferred, share only the code, not a URL
Open arpass.io → click '📲 Employees: join with a code'
Enter the invite code in the prompt → moves to create view + yellow banner '🏢 Employee mode signup'
Set your master password (memorize it — admin does not know it)
'Create the company vault' → Touch ID to create Passkey
Lands on vault view. Recovery is auto-sent to admin (never shown on screen)
💡 The admin must have opened the app at least once (so their public key is registered on server). If you see 'Failed to join company or send Recovery', ask the admin.

📲 Employee device-add / total lockout recovery

If an employee wants to add a new device or has lost all their devices, the admin issues a <strong>device-add code</strong> (8 chars, valid 5 min). It's bound to the employee + single-use + IP rate-limited.

Employee contacts admin to 'add a new device'
Admin tab → employee row → '📲 Device-add code' → 'Auto-approve?' (recommended: Cancel = manual approval required)
Admin sees the 8-char code → relays to employee in person / Slack DM (code only)
Employee opens arpass.io on new device → '📲 Employees: join with a code' (or the same button on the 'Get started' view if picker is empty)
Enter code → device name → master password (the one set at signup) → 'Redeem code'
Progress view (big spinner + 10:00 countdown) shows the wait for admin approval
Admin tab's inbox shows '📲 Device-add' request → '✅ Approve' (auto-approve mode handles automatically)
Employee device auto-unlocks the vault + registers Passkey → vault view + toast '✅ This device is registered'
💡 Even if the device-add code is stolen, with auto-approve OFF the admin must approve, providing one defense layer. Admin can also see the requesting IP in the inbox.

💳 Tarifas y pago

La facturación es pospago. Cada operación (añadir, editar, borrar) suma la tarifa del día a su uso; páguelo todo cuando quiera. Leer y copiar es gratis.

Con la unidad desbloqueada, haz clic en "💳 Saldo" en el encabezado superior derecho
Se abre el modal de selección de paquete (Starter / Standard / Heavy / Business / Family)
Haz clic en un paquete → el checkout de Stripe se abre en una nueva pestaña
Ingresa los datos de tu tarjeta de crédito → completa el pago
La nueva pestaña se cierra automáticamente y vuelves a la unidad → notificación: "✅ +N créditos aplicados"
💡 Tu estado desbloqueado se conserva. No requiere reingreso durante el pago.

🔄 Reemitir Recovery Secret

Si pierdes el papel o sospechas una fuga. Se requiere el Recovery Secret antiguo.

Pantalla de la unidad → Configuración (ícono ⚙) → sección "Reemitir Secreto de Recuperación"
Ingresa tu contraseña maestra actual
Elige entre dos modos:
  • A. Ligero (recomendado): Para cuando se perdió el papel pero no sospechas robo. El más rápido, sin operación en el servidor.
  • B. Completo (sospecha de robo): Para cuando el Secreto de Recuperación anterior pudo haber sido filtrado. Re-encripta el contenido y cambia a un nuevo identificador de cuenta.
Haz clic en "Emitir nuevo Secreto de Recuperación"
El nuevo Secreto de Recuperación aparece en pantalla → siempre imprímelo y guárdalo en un lugar seguro
Diferencia entre el Caso A y el B (importante):

🔐 Gestionar dispositivos registrados

Verifica qué dispositivos tienen Passkey registrado, renómbralos o elimínalos.

Pantalla de la unidad → Configuración → sección "🔐 Dispositivos registrados"
Aparece la lista de dispositivos registrados (este dispositivo aparece resaltado en amarillo)
Botón "Renombrar": cambia a un nombre descriptivo (ej., "Mac Studio", "iPhone 15")
Botón "Eliminar" (dispositivos que no sean este): desvincula el Passkey de ese dispositivo de la unidad
Límite de la eliminación: si una copia del MEK permanece en el dispositivo eliminado, los datos anteriores en Arweave aún pueden descifrarse. La invalidación completa requiere reemitir el Secreto de Recuperación (Caso B, rotación de MEK).

❓ Preguntas frecuentes

¿Qué pasa si pierdo los tres: contraseña maestra, Passkey y Recovery?

No es posible recuperarlo. Arpass no conserva nada, por lo que no podemos ayudarte. Este es el costo del diseño de conocimiento cero — no podemos ver las contraseñas de nadie, pero perder los 3 factores implica una pérdida total.

Perder 2 aún es recuperable (el factor restante puede restaurar). Antes de perder los 3, copia el Secreto de Recuperación en varios lugares.

¿Pueden los operadores ver mis contraseñas?

No. Todo el cifrado ocurre en tu navegador, y el contenido almacenado en Arweave está doblemente cifrado antes de pasar por los servidores de Cloudflare.

  • Interior: AES-256-GCM (clave = MEK, generada aleatoriamente, nunca enviada al servidor)
  • Exterior: AES-256-GCM (clave = HKDF(vault-id), el vault-id tampoco se envía al servidor)
  • Lo que ve el servidor: bytes aleatorios cifrados (indescifrables) + información de saldo

Los detalles pueden verificarse a nivel de código en el espejo público arpass-spec (AGPL-3.0).

¿Los datos cifrados en Arweave permanecen para siempre?

Sí — Arweave es almacenamiento permanente, por lo que los datos escritos no desaparecen. Esto es a la vez una ventaja ("tus contraseñas seguirán existiendo 200 años después") y una desventaja ("los datos pasados permanecen para siempre").

Aunque cambies una contraseña, el texto cifrado anterior permanece en Arweave. Pero ese texto cifrado anterior solo puede descifrarse con el MEK anterior, que solo tú conoces. Después de reemitir el Secreto de Recuperación (Caso B), las escrituras posteriores se cifran con una nueva clave sin relación con el pasado.

¿Cuánto cuesta?

Agregar, editar o eliminar una contraseña consume 1 crédito cada vez. Guardar 10 contraseñas ≈ 10 créditos. El paquete "Starter 100" ($2) es suficiente para el uso diario. La mayoría de los usuarios solo necesita comprar un paquete una o dos veces al año.

Is it OK to save the QR code as a photo?

OK under conditions. Save via the in-app 「Save image」 button, then ensure your iCloud Photos has Advanced Data Protection ON, or Google One Backup has E2E encryption ON. This makes the photo unreadable even to Apple / Google.

Without these E2E settings, regular cloud sync leaves the provider with technical access — paper printing is strongly preferred.

For maximum safety, switch to YubiKey-only mode — no Recovery Secret needed at all.

¿Qué pasa si edito en varios dispositivos a la vez?

Arpass usa control de concurrencia optimista, por lo que el segundo dispositivo en guardar recibe un error "Actualizado en otro dispositivo". Desbloquea de nuevo para obtener la versión más reciente y vuelve a editar.

🛡️ Mejores prácticas de seguridad

Arpass utiliza descifrado 2 de 3 (cualquier combinación de 2 de: contraseña maestra + Passkey + Secreto de Recuperación puede descifrar). Por diseño, filtrar solo 1 factor no descifra la unidad. Sin embargo, la filtración simultánea de varios factores es peligrosa. Sigue estas pautas.

✅ Recomendado

❌ Evitar

⚠️ Casos de uso no recomendados

Este servicio es un gestor de contraseñas de uso general para personas y pequeñas empresas. No es adecuado para:

No asumimos ninguna responsabilidad por daños derivados del uso de este servicio en estos escenarios. Consulta los Términos de Servicio para más detalles.

🚨 Si sospechas una fuga

Si la contraseña maestra o el Secreto de Recuperación pudieron haberse filtrado, actúa de inmediato:

  1. Solo la Maestra: Configuración → "Cambiar contraseña maestra"
  2. Solo la Recuperación: Configuración → "Respuesta a incidentes de seguridad" → Reemisión de Recuperación (Caso A, ligero)
  3. Ambas, o robo del dispositivo: Configuración → "Respuesta a incidentes de seguridad" → Reemisión de Recuperación (Caso B, la rotación de MEK invalida las envolturas del dispositivo perdido y la Recuperación anterior)

Consulta la Respuesta a incidentes de seguridad en la Configuración de la pantalla de la aplicación para más detalles.

🔬 Visión general del diseño criptográfico (avanzado)

El diseño criptográfico de Arpass es descifrado 2 de 3. Cualquier combinación de 2 de los 3 factores puede descifrar la unidad.

Rutas de descifrado

Cifrado del cuerpo y cifrado externo

Cifrado en dos capas:

Los bytes en Arweave aparecen como completamente aleatorios; la estructura JSON y los nombres de los algoritmos son externamente indistinguibles. Incluso el nombre de la etiqueta de Arweave adjunta a cada escritura se aleatoriza por usuario, de modo que los observadores externos no pueden identificar qué transacciones pertenecen a Arpass.

Con envelope v7, esta clave exterior también se almacena dentro del Passkey (WebAuthn user.id). La clave está protegida por el hardware del Passkey y nunca aparece en los datos públicos de Arweave, por lo que un dispositivo nuevo puede descifrar la capa exterior sin ingresar el Secreto de Recuperación.

Qué hay en el servidor

En el servidor (Cloudflare KV) solo se guarda su registro de uso. Las cuentas se identifican por el hash de su clave pública (ECDSA P-256); la clave externa, la contraseña maestra y el Recovery Secret nunca llegan al servidor.

Para la especificación completa: